税务外网的安全建设包含很多方面,决不是通过采用简单的产品部署就可以解决全部的安全问题,在合理的配置安全产品的同时,还需要采取必要的安全评估和加固等技术措施。
通常的网上报税系统设立在税务外网,对网上报税系统的建设同时也是税务外网的建设,税务外网是税务对外综合性服务系统的载体,和Internet直接连接,并且按照国家相关规定和税务系统的业务网物理隔离。主要应用有:
信息发布网站:税务系统的Web网站是其公众形象的重要体现形式之一,其主要功能是发布正式的官方的文件和信息、定期发布税收统计数据、宣传税务法规等。
网上报税服务:网上报税是一种新的报税模式和发展趋势,它利用网络技术、严密的安全策略,将纳税人、税务局、银行三者有机的结合在一个平台上。纳税人足不出户便可以完成申报、缴款等工作。极大地提高了三方的工作效率,加强税收监管力度。
邮件和Internet浏览服务:除了提供对外服务,税务系统对外服务网络还对内部人员提供邮件服务和Internet浏览服务。
安全策略
㈠ 与互联网隔离的安全策略
在配置相应防火墙的规则时,允许内部员工以隐藏后的IP地址访问互联网;互联网用户不能直接访问内部网络。
㈡ 与省级公司网络隔离的安全策略
在配置相应防火墙的规则时,允许分公司服务器向总公司特定服务器上传数据;允许该分公司与省级分公司相互访问特定的服务;限制互联网服务的带宽;保证关键业务应用的带宽;禁用网络无关服务。
㈢ 与区县级分公司网络隔离的安全策略
在配置相应防火墙的规则时,只允许下连的区县级分(支)公司的特定服务器向本分公司的特定服务器上传数据;对于本地无服务器的下连分公司,只允许特定的工作主机访问本公司特定服务器的特定服务;限制互联网服务的带宽;保证关键业务应用的带宽;禁用网络无关服务。
㈣ 与银行等外联单位隔离的安全策略
在配置相应防火墙的规则时,只允许本公司服务器同其它单位的特定服务器之间互传数据,并且只能相互访问特定的服务,禁用网络无关服务。
税务外网作为电子报税系统的载体,网络结构的合理性和网络的安全性是保证电子报税系统安全的有力保障,某省地税安全规划建设后的示意图如下:
图示说明:
税务外网通常都有两条线路与互连网相连,所以通常的部署方式是采用负载均衡设备对线路进行负载均衡,当一条线路出现故障时,另一条线路承担全部的流量;
税务外网时刻面临着来自互连网的攻击威胁,而拒绝服务攻击又是当前最有效的攻击方式,且难于防范,所以在税务外网应当部署专用的抗拒绝服务攻击产品;
税务外网面临的威胁主要来自于互联网,因为税务内网和税务外网采用了安全隔离措施,基本可以忽略来自内网的安全威胁,所以要在税务外网和互连网的边界部署防火墙系统,进行访问控制,防火墙系统也应当采用HA的配置方式;
税务外网的报税业务和信息发布业务都通过网站的方式进行,所以主页的防篡改也应当是税务外网安全防护的一个重要手段;
税务外网有众多的服务器,里面存储了大量的信息资产,所以要针对这些服务器进行有效的攻击保护,采用IDS部署是最有效的防护措施,所以在外网的交换机上要部署IDS系统,对服务器资源进行实时监控;
税务外网和税务内网之间肯定要进行一些数据交换,比如报税数据要交换到内网,邮件信息要交换到内网,所以通过VLAN的方式在税务外网划分处单独的信息交换区,通过隔离网闸同内网进行实时的信息交换是十分重要的。